검색
광장

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」개정안 국회 본회의 통과

[ 2018.09.30 ]


국회는 2018. 8. 30. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”) 일부 개정법률안(“본건 개정안”)을 의결하였습니다. 본건 개정안은 2018년 9월 내지 10월에는 공포될 것으로 예상되고, 공포일로부터 6개월이 경과한 날부터 시행될 예정입니다. 특히 본건 개정안은 국외 사업자의 국내대리인 지정 의무, 국외 이전된 개인정보의 제3국으로의 재이전 제한, 상호주의 관련 규정을 신설하는 등 정보통신망법의 국외 사업자에 대한 적용 문제와 개인정보의 국외 이전에 관하여 매우 중요한 내용을 담고 있습니다. 이하에서 본건 개정안의 내용 및 그 의미에 관하여 알려 드리오니, 업무에 참고하시기 바랍니다.


(1) 국외 사업자에 대한 국내대리인 지정의무 신설 (본건 개정안 제32조의 5)

2018. 5. 25. 시행된 EU GDPR은 제27조에서 EU 역외 사업자의 EU 역내 대리인 지정을 의무화하고 있는데, 본건 개정안도 이와 유사한 취지에서 국외 사업자의 국내대리인 지정제도를 도입하였습니다.


가. 본건 개정안의 주요내용

a) 적용대상 : 국내에 주소 또는 영업소가 없는 (i) 정보통신서비스 제공자 또는 (ii) 정보통신 제공자로부터 개인정보를 제공받은 사업자(이하 “국외사업자”) 중 대통령령으로 정하는 기준에 해당하는 자

b) 적용의무 : 다음 업무 수행을 위하여, 국내에 주소 또는 영업소가 있는 자(법인 또는 개인)를 대리인으로 지정하고 대리인에 관한 사항을 개인정보처리방침에 반영하여야 함 : (i) 이용자의 고충 처리 등 개인정보보호 책임자의 업무, (ii) 개인정보 유출에 따른 통지, 신고 및 지체 사유 소명, (iii) 규제기관인 과학기술정보통신부장관 또는 방송통신위원회의 조사시 필요한 자료제출 등의 업무

c) 국내대리인 지정 및 위반시 효과 : 국내대리인 지정이 필요한 업무와 관련하여 정보통신망법 위반 사실이 발생하는 경우에는 정보통신서비스제공자등이 그 위반행위를 한 것으로 간주하도록 하고, 국내대리인 지정 의무를 준수하지 않는 국외사업자에 대해서는 2,000만원 이하의 과태료를 부과


나. 본건 개정안의 의의

국내대리인 제도는 국외사업자에 대한 정보통신망법의 역외 적용 가능성을 보다 분명히 하는 것으로 이해됩니다. 현행 정보통신망법은 국내에 주소 또는 영업소가 없는 국외사업자에 대한 정보통신망법 적용여부에 관해 명확히 규정하고 있지 않지만, 방송통신위원회는 실무적으로 국외사업자에 대해서도 정보통신망법 적용이 가능한 것으로 보아왔습니다. 본건 개정안은 국내대리인 지정의무 규정을 통해 일정한 경우 국외 사업자가 정보통신망법을 적용 받을 수 있다는 점을 보다 명확해한 것으로 평가할 수 있습니다. 또한, 개인정보보호 책임자로서의 업무를 수행하는 등 국내대리인의 역할 내용에 비추어 볼 때, 위 규정이 국외사업자에 대한 정보통신망법의 집행을 강화하는 계기로 작용할 것으로 예상됩니다.


다만, 아직 적용대상을 정하는 기준을 위한 대통령령이 입법 예고되지 않은 상태이므로, 국외사업자들은 자신이 국내대리인 지정의무자에 해당하는지에 관하여 향후 시행령의 입법 추이를 모니터링할 필요가 있습니다. 만일, 국내대리인 지정의무자에 해당할 경우 정보통신망법 준수 여부를 점검하고 필요한 조치를 취하는 등 잠재적 규제 위험에 대응할 필요가 있을 것입니다. 또한, 국내대리인의 역할이 중요하므로 적합한 자를 선정할 수 있도록 준비할 필요가 있습니다.


(2) 국외 이전된 개인정보의 제3국으로의 재이전에 대한 규제 신설(본건 개정안 제63조 제5항)

현행 정보통신망법은 이용자의 개인정보를 대한민국 외로 이전하는 경우에 한하여 국외 이전에 관한 제한을 두고 있으며(정보통신망법 제63조), 이와 같이 국외로 이전된 개인정보가 다시 제3국으로 이전되는 경우에 관하여는 특별한 규정을 두고 있지 아니합니다. 


가. 본건 개정안의 주요내용

a) 적용대상 : 정보통신망법의 적용을 받는 국내사업자로부터 개인정보를 이전 받은 자

b) 적용의무 : (i) 이용자의 개인정보에 관하여 정보통신망법을 위반하는 계약 체결 금지, (ii) 제3국으로의 개인정보 재이전에 관하여 이용자의 동의획득 필요 (단, 이러한 이전이 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우라면, 개인정보처리방침에 관련 내용을 공개한다는 전제 하에 동의 획득 의무 면제), (iii) 제3국으로의 개인정보 재이전시, 개인정보 보호를 위하여 정보통신망법 시행령이 정하는 일정한 보호조치 수행

c) 위반시 효과 : 정보주체의 동의가 필요함에도 불구하고 동의를 받지 않은 경우에는 관련매출액의 3% 이하의 과징금이 부과가능하고, 정보통신망법 시행령이 정하는 조치를 취하지 않는 경우, 3,000만원 이하의 과태료가 부과될 수 있음


나. 본건 개정안의 의의

이번 개정은 현재 진행중인 EU GDPR에 의한 적합성(Adequacy) 결정을 위한 평가절차의 진행을 촉진시키는 역할을 할 것으로 보입니다. 아울러, 그 동안 국외이전후 개인정보 보호에 관한 맹점으로 지적되어 온 제3국으로의 재이전(onward transfer)에 대한 명확한 규정을 두었다는 점에 의의가 있습니다. 따라서, 한국내 정보통신망서비스 제공자등으로부터 개인정보를 이전 받는 해외 기업(한국기업의 해외자회사, 계열사 포함)은 제3국으로의 개인정보 재이전 유무 및 이전 목적을 확인하여 위 사항의 준수 방안을 마련할 필요가 있습니다.


(3) 상호주의의 도입 (본건 개정안 제63조의2) 

가. 본건 개정안의 주요내용

개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자등에 대하여 개인정보 국외이전과 관련하여 해당 국가의 수준에 상응하는 제한을 할 수 있음(단, 조약이나 국제 협정의 이행에 필요한 경우는 제외)


나. 본건 개정안의 의의

위 규정은 일부 국가에서의 개인정보 국외 전송 제한 등 최근의 개인정보 국지화(localization) 흐름에 대응하기 위한 것으로 파악됩니다. 즉, 개인정보의 경제적 가치가 중요해짐에 따라, 대한민국으로의 개인정보 이전을 제한하는 국가의 기업에 관하여 상응한 제한을 부과함으로써 개인정보 이전 문제에 있어 국가간 동등 규제를 추구하는 한편 국내 정보주체의 개인정보 보호를 도모하고자 하는 것으로 이해됩니다.


다만, 위 규정은 해당 국가의 수준에 상응하는 제한을 할 수 있다고만 규정하고 있으며, 그러한 제한을 부과하는 주체 등도 명확하게 규정되어 있지 않으므로, 규정 자체로서 바로 상호주의에 입각한 구체적 제한을 부과하는 효과가 있다고 보기 어렵습니다. 따라서, 향후 규제기관의 이 규정에 대한 해석 및 집행 방향을 주시할 필요가 있다고 생각됩니다.


(4) 결론

이상에서 살펴본 바와 같이, 본건 개정안은 국외사업자에 대한 정보통신망법의 적용 범위를 명확히 하고, 집행 가능성을 제고하는 한편, 해외 소재 기업에 대하여 한국으로부터 전송된 개인정보의 재이전에 대한 까다로운 규제를 부과하고 있습니다. 따라서, 국내에 주소 및 영업소를 두고 있는 사업자와 그렇지 않은 사업자 모두 본건 개정안의 시행에 따른 시행령의 입법 추이와 규제기관의 입장을 주의 깊게 살펴볼 필요가 있습니다. 특히 국내외를 막론하고 글로벌하게 사업을 운영하는 기업의 경우 자회사간 정보의 전송 및 교환이 활발하게 이루어지는데, 이러한 회사들의 경우 개인정보의 제3국으로의 재이전 규정에 특히 주의를 기우릴 필요가 있어 보입니다. 상호주의의 경우 아직 그 구체적 내용이 분명하지 아니하나, 이후 규제기관의 조치에 따라 개인정보의 국외 이전에 상당한 영향을 미칠 수 있으므로, 관련 동향에도 관심을 기울이시기 바랍니다.



박광배 변호사 (kwangbae.park@leeko.com

고환경 변호사 (hwankyoung.ko@leeko.com)

채성희 변호사 (sunghee.chae@leeko.com)

카카오톡

관련 법조인

리걸에듀